Info i GDPR
Personuppgifter i samband med företagets kommunikation
Behandling av personuppgifter i samband med företagets kommunikation med registrerade är ofta nödvändigt, och dessutom väldigt vanligt förekommande. Detta gäller både intern kommunikation inom företaget (exempelvis till medarbetarna) samt extern kommunikation utanför företaget (exempelvis till kunder, leverantörer eller andra affärspartners).
Behandling av personuppgifter i samband med företagets kommunikation med registrerade måste ske i enlighet med gällande regler
Reglerna kring behandling av personuppgifter i samband med företagets kommunikation med registrerade skiljer sig åt, beroende på vilken typ av företag det gäller och vad kommunikationen handlar om.
Det är till exempel skillnad på om flera läkare kommunicerar med varandra om frågor kring sina patienter via e-post, eller om ett nystartat företag som bygger webbplatser skickar meddelanden med marknadsföring till potentiella kunder. Ju viktigare personuppgifterna är, desto större är kraven på en säker kommunikationsväg.
Företagets kommunikation med registrerade via e-post
E-post är en vanlig kommunikationskanal för företag att använda. Både för kommunikation internt och externt. Till exempel genom att medarbetare använder e-post för intern kommunikation med andra medarbetare, eller att företaget har en e-postadress publicerad på sin officiella webbplats som kunder kan använda för att mejla frågor till kundtjänsten.
Vilken rättslig grund bör användas vid e-postutskick i marknadsföringssyfte?
Behandling av personuppgifter i samband med företagets kommunikation med registrerade måste vara baserad på en rättslig grund enligt artikel 6 i GDPR. Det är vanligt att företag använder antingen samtycke eller berättigat intresse som rättslig grund vid e-postutskick i marknadsföringssyfte. Observera att företaget måste upphöra med e-post utskicken om den registrerade begär det, i enlighet med dennes rättigheter i GDPR.
Vilka skäl i GDPR handlar om direktmarknadsföring?
Skäl 47 i GDPR anger uttryckligen att behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse. Däremot kan det vara viktigt att känna till att andra nationella lagar om marknadsföring kan reglera krav på samtycke för direktmarknadsföring via e-post till potentiella nya kunder.
Skäl 70 i GDPR anger att den registrerade ska ha rätt att när som helst kostnadsfritt invända mot behandlingen när dennes personuppgifter används för direktmarknadsföring. Dessutom bör denna rättighet uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från annan information.
Är det tillåtet att skicka lönespecifikationer via e-post?
Det korta svaret på frågan är: det beror på. Om lönespecifikationen innehåller känsliga personuppgifter, ska arbetsgivaren inte skicka den till arbetstagaren via okrypterad e-post. Sjukfrånvaro är nämligen ett exempel på en känslig personuppgift enligt artikel 9 i GDPR, eftersom det utgör en uppgift om hälsa. Det är också en personuppgift som företag brukar behöva behandla för att kunna betala ut korrekt lön, och därför brukar sådan information framgå på lönespecifikationen. Observera att det går att skicka en lönespecifikation via krypterade mejl som utgör en säker e-postkommunikation, endast under förutsättning att det bedöms vara tillräckligt säkert.
Behandling av personuppgifter inom personalavdelningen (Human Resources, HR)
Alla personuppgiftsbehandlingar kräver stöd i en rättslig grund
Det är viktigt att tänka på att alla behandlar av personuppgifter kräver stöd i en rättslig grund för att vara laglig enligt GDPR. Inom personalavdelningen, även kallat för HR-avdelningen, sker många behandlingar av personuppgifter. Syftet med en HR-avdelning är att bland annat ge stöd till verksamheten i operativa, administrativa och strategiska frågor som rör personalen i verksamheten.
HR-avdelningen behandlar personuppgifter i samband med rekrytering av anställda, efter anställningen, vid kompetensutvecklingen samt efter att medarbetaren har avslutat sin anställning.
Hur länge ska personuppgifterna om arbetssökanden eller anställda sparas av företaget?
Huvudregeln i GDPR är att personuppgifterna inte ska behandlas längre än nödvändigt för syftet de blev insamlade för. Om en person inte får en anställning efter att ha skickat in en arbetsansökan med sitt CV till företaget, är det oftast inte nödvändigt för företaget att fortsätta behandla personuppgifterna. Företaget bör därmed radera mottaget CV samt eventuella relaterade e-postmeddelanden (om det var den valda kommunikationsvägen med den arbetssökande).
Däremot kan det finnas situationer som innebär att företaget behöver spara personuppgifterna längre. Exempelvis i det fall företaget fortsätter att lagra medarbetarens personuppgifter efter anställningens upphörande för att kunna vara en framtida referens, eller i den mån fortsatt lagring krävs enligt tillämplig lagstiftning. Det finns många arbetsrättsliga nationella lagar som reglerar specifika lagringstider, och vid sådana fall sker behandlingen med stöd i rättslig förpliktelse som laglig grund.
Personuppgifter av subjektiv karaktär kan oftast upplevas vara mer subjektivt integritetskänsliga uppgifter
Det är skillnad mellan personuppgifter som är av subjektiv eller objektiv karaktär. Personuppgifter av subjektiv karaktär är till exempel en diagnos från en läkare, ett betyg från en lärare eller bedömningar baserade på medarbetarsamtal i ett företag som dokumenteras. Det är viktigt att tänka på att personuppgifter av subjektiv karaktär kan upplevas vara mer subjektivt integritetskänsliga uppgifter av den registrerade. Därför behöver de bli behandlade av företaget med större säkerhet.
Innan anställningen
Arbetsgivaren behandlar personuppgifter tillhörande arbetssökanden före anställningen, i samband med att arbetssökande kontaktar företaget för att ansöka om ett jobb. Till exempel genom att besvara en jobbannons eller att skicka en spontanansökan om anställning till företaget via e-post.
Under anställningen
Det finns många olika personuppgifter tillhörande de anställda som arbetsgivaren behandlar under tiden anställningen är pågående. Observera att vissa av dem är känsliga eller subjektivt integritetskänsliga personuppgifter. Till exempel information om anställdas sjukfrånvaro, rehabiliteringsplaner, bedömning och dokumentation av arbetsprestationer m.m.
Kompetensutveckling
Det är inte ovanligt att arbetsgivare sparar vissa uppgifter och dokumenterade medarbetarsamtal för kompetensutveckling. Sådana uppgifter kan upplevas integritetskänsliga. Därför är det viktigt att behandla dem med större säkerhet samt vara extra noggrann med att radera dem när de inte längre är nödvändiga.
Behandling av personuppgifter i samband med företagets kommunikation med registrerade via sociala medier
Sociala medier är en viktig del av marknadsföringsarbetet för många företag och det är vanligt med Behandling av personuppgifter i samband med företagets kommunikation med registrerade via sociala medier. Därför är det bra att känna till reglerna vid behandling av personuppgifter via sociala medier.
Tyvärr är det många företag som behandlar personuppgifter via sociala medier som tror att de inte har något ansvar över behandlingen, eftersom de tror att det endast är plattformsleverantörerna som har ansvar. Detta stämmer dock inte. Företaget har också ett ansvar för sin behandling av personuppgifterna, även om behandlingen sker inom en sociala medieplattform som tillhandahålls av en tredjepartsleverantör.
Ansvarar företaget för radering av personuppgifter som förekommer i företagets konto i sociala medier?
Ja, företaget ansvarar för all behandling av personuppgifter företaget utför via sociala medier, inklusive radering av personuppgifter när de inte längre behövs. Det handlar om allt ifrån bilder eller videos på personer som företaget publicerar i sina sociala medier, till kommentarer på företagets inlägg och chattar i företagets inkorg inom sociala medier. Företaget behöver bland annat säkerställa att gamla chattar med registrerade via sociala medier raderas när de inte längre är nödvändiga för företaget att behandla.
Regler som gäller för företag som profilerar kunder genom sociala medier
Det är viktigt att tänka på att företag ska veta hur plattformsleverantörerna agerar och hanterar personuppgifter innan de börjar använda deras sociala medieplattformar. Detta beror på att företaget och plattformsleverantören i fråga kan ha ett så kallat gemensamt personuppgiftsansvar i vissa fall. Detta fastslogs i en dom från EU-domstolen gentemot Facebook. Regler om gemensamt personuppgiftsansvar regleras närmare i bland annat Artikel 26 i GDPR samt Skäl 79 i GDPR.
Behandling av personuppgifter i samband med företagets kommunikation med registrerade via företagets webbplats
Det finns många företag som behandlar personuppgifter via sina webbplatser. Till exempel genom cookies, när de tar emot förfrågningar via kontaktformulär på webbplatsen, om de har något inloggningssystem eller liknande. Utgångspunkten är att ju viktigare personuppgifterna är, desto högre krav ställs på säkerhet. Det är till exempel skillnad på om ett företag använder cookies för att analysera hur webbplatsen används, eller säljer något genom att köparen skriver in sitt kreditkortsnummer som lagras i företagets webbservrar.
Ett vanligt misstag som företag ofta gör på sin webbplats
Många företag har ett kontaktformulär på sin webbplats som besökarna kan använda för att kontakta företaget. Exempelvis för att ställa frågor, begära en offert eller liknande. Det är vanligt att besökaren behöver fylla i sitt namn, e-postadressen och möjligtvis fler kontaktuppgifter i formuläret. Många gånger är majoriteten av fälten i formuläret dessutom obligatoriska att fylla i, för att meddelandet ska kunna skickas.
När meddelandet skickas till företaget via formuläret, blir personuppgifterna behandlade av företaget. Därför måste företaget informera om behandlingen. Ett vanligt misstag som företag gör är att inte informera om behandlingen i enlighet med artikel 13 GDPR. Informationen ska ges i anslutning till insamlingen, innan personuppgifterna skickas till företaget, genom att företaget presenterar sitt integritetsmeddelande till besökaren.
Många webbplatser använder och lagrar cookies på besökarens enhet, vilket kan utgöra personuppgifter och därför omfattas av GDPR. För att få behandla icke-nödvändiga cookies, såsom för marknadsföringssyfte, krävs ett aktivt samtycke. Dessutom måste företaget uppfylla informationskravet. Bland annat måste företaget presentera ett cookiemeddelande på sin webbplats, med information om vad cookies är för något, hur de används av webbplatsen m.m.
Lär dig mer om behandlingar online
Behandling av personuppgifter som utförs av företag som bedriver onlinetjänster
Företag som omfattas av GDPR och bedriver onlinetjänster behandlar nästan alltid personuppgifter. Exempel på sådana tjänster är sociala medier, sökmotorer och e-handelsplattformar. Det är viktigt att vid sådana fall anpassa onlinetjänsten efter GDPR, såsom att införa inställningar för att användare ska kunna återkalla sina samtycken. Dessutom är det inte ovanligt för företag som bedriver onlinetjänster att behandla personuppgifter tillhörande barn, och då är reglerna ännu striktare enligt GDPR.